寫在前面的話

要說哪個網絡威脅組織同時具備狡猾的社會工程學能力和靈活的網絡安全技術，那就不得不提到Muddled Libra了。由于對企業信息技術有著深入的了解，即使你的組織機構擁有完善的傳統網絡防御系統，Muddled Libra也會對你產生巨大的威脅。

我們對2022年年中到2023年年初的六起與Muddled Libra有關聯的網絡安全事件進行了分析，發現該威脅組織傾向于針對為高價值加密貨幣機構和個人服務的大型外包公司。而想要阻止Muddled Libra的攻擊，則需要組織機構擁有嚴格的安全控制機制、高度“敏感”的網絡安全意識和持續性的高級監控方案。

Muddled Libra的技戰術非常多變，并且能夠快速適應目標環境，社會工程學技術是他們所使用的主要方式。除此之外，他們也正在使用各種匿名代理服務來掩蓋他們的原始IP地址以及實際地理位置。

我們認為，英語是Muddled Libra成員的第一語言，這也使得他們在對使用英語的目標用戶執行社會工程學攻擊時，將更具殺傷力，而他們的主要目標似乎都在“漂亮國”。

根據研究人員的發現，Muddled Libra一直與BlackCat（又名ALPPV）勒索軟件集團有關聯，我們認為他們很可能是其附屬組織，而BlackCat被認為是過去12個月來最活躍、最持久的勒索軟件集團之一。在過去的12個月里，我們在BlackCat的數據泄露站點上觀察到了至少316起事件。需要注意的是，BlackCat還允許分支機構訪問他們的工具包，其中包括編譯的勒索軟件二進制文件、技術支持、談判技巧以及泄漏網站的訪問權等等。

Muddled Libra的特征

我們可以用幾個方面來簡單概括Muddled Libra的特征：

• 使用0ktapus網絡釣魚工具包;
• 長期的持久化攻擊;
• 持續針對業務流程外包(BPO)行業;
• 數據盜竊;
• 在下游攻擊中使用被入侵的基礎設施;

對Muddled Libra的深入研究表明，他們使用了一個異常龐大的攻擊工具包，其武器庫從社會工程學和smishing攻擊，到滲透測試和取證工具，幾乎“無所不用其極”。而且Muddled Libra在追求目標方面有條不紊，進攻策略高度靈活。當攻擊路徑被阻斷時，他們要么迅速轉向另一個向量，要么修改環境以使用他們擅長的攻擊方法。值得一提的是，Muddled Libra似乎“深諳”事件應急響應的處理機制，這也使得他們能夠在應對目標組織事件應急響應的同時，持續地朝著他們的最終目標邁進。

Muddled Libra傾向于使用被盜數據瞄準目標用戶的下游客戶，如果允許，他們會反復回到受入侵的網絡系統刷新被盜數據集。有了這些被盜數據，即使在事件響應之后，攻擊者仍然有能力回到最初的目標網絡系統中。

Muddled Libra的攻擊鏈

Muddled Libra的攻擊鏈如下圖所示：

Muddled Libra的技戰術分析

網絡偵查

Muddled Libra一直表現出對目標組織的深入了解，包括員工名單、工作角色和手機號碼。在某些情況下，這些數據可能是在早期針對上游目標的數據泄漏攻擊中獲得的。

威脅行為者還經常從非法數據代理獲取信息包，這些數據通常是通過使用諸如RedLine竊取程序之類的惡意軟件從受感染的設備中獲取的，其中包括公司和個人設備。隨著自帶設備（BYOD）政策的早期出現，以及混合工作解決方案的流行，公司數據和憑據被頻繁使用并緩存在個人設備上。這也不僅給分散IT資產的管理和保護提升了難度，而且也保護為信息竊取惡意軟件創造了有利可圖的目標定位機會。

資源部署

在smishing攻擊中使用相似域名，已經成為了Muddled Libra的標志之一，這種策略是有效的，因為移動設備經常會截斷SMS短信中的鏈接。而這些域名只會在最初的訪問階段使用，然后很快就會被刪除。

初始訪問

在研究人員可以確定Muddled Libra初始訪問媒介的安全事件中，都涉及到了smishing攻擊或社會工程學技術。在大多數事件中，威脅行為者會直接向目標員工的手機發送釣魚信息，并聲稱他們需要更新賬戶信息或重新驗證公司應用程序。消息中包含一個指向偽造公司域名的鏈接，該域名將模仿目標用戶熟悉的服務登錄頁面。

持久化

Muddled Libra特別專注于維護對目標環境的訪問權。雖然威脅參與者在入侵期間使用免費或演示版的遠程監控和管理（RMM）工具是很常見的，但Muddled Libra經常安裝六個或更多這樣的實用程序。他們這樣做是為了確保即使發現了一個，他們也會保留一個進入環境的后門。

之所以選擇使用RMM這樣的工具，是因為這些工具是合法工具，而且很多關鍵業務的應用程序都會用到這些內容，這也是Muddled Libra選擇利用這些工具的原因。這些工具都不是固有的惡意工具，而且在許多企業網絡的日常管理中會經常使用到。因此，我們建議組織通過簽名來阻止任何未經批準在企業內使用的RMM工具。

防御規避

Muddled Libra常用的安全防御機制規避技術如下：

• 禁用防病毒產品和基于主機的防火墻;
• 嘗試刪除防火墻配置文件;
• 創建策略或機制以關閉安全防御工具;
• 停用或卸載EDR和其他監控產品;

除此之外，Muddled Libra在運營安全方面很謹慎，一直使用商業虛擬專用網絡（VPN）服務來掩蓋其地理位置，并試圖融入合法流量。在其活動中，我們觀察到他們使用了多家供應商的服務，其中包括Expres*VPN、NordVPN、Ultrasurf、Easy VPN和ZenMate。

憑證訪問

一旦捕獲了用于初始訪問的憑據，攻擊者就會選擇兩條路徑中的一條。在一種情況下，他們繼續從他們控制的機器進行身份驗證流程，并立即請求多因素身份驗證（MFA）碼。在另一種情況下，他們會生成了一系列無休止的MFA提示，直到用戶出于疲勞或沮喪接受了一個提示（也稱為MFA轟炸）。

在建立了立足點后，Muddled Libra會迅速采取行動，提升訪問權限。這一階段使用的標準憑證竊取工具包括Mimikatz、ProcDump、DCSync、Raccoon Steiner和LAPSToolkit。

代碼執行

在我們的調查中，Muddled Libra似乎主要對數據和憑據盜竊感興趣，我們很少會看到遠程代碼執行的情況。如果需要的話，該組織會選擇使用Sysinternals PsExec或Impacket完成代碼執行。

數據收集

Muddled Libra似乎非常熟悉典型的企業數據管理機制，并且能夠成功地在目標設備上的各種常見數據庫中找到敏感數據，其中包括結構化或非結構化數據庫，例如：

• Confluence
• Git
• Elastic
• Microsoft Office 365(SharePoint、Outlook...)
• 內部消息平臺

除此之外，他們還會使用開源數據挖掘工具Snafler和本地工具搜索注冊表、本地驅動器和網絡共享，以查找*密碼*和安全限制等關鍵字。然后將泄露的數據暫存并存檔，以便使用WinRAR或PeaZip進行數據提取。

數據提取

在某些情況下，Muddled Libra試圖建立反向代理shell或安全shell（SSH）隧道，主要用于命令和控制或數據提取。Muddled Libra還使用了常見的文件傳輸網站，如put[.]io、transfer[.]sh、wasabi[.]com或gofile[.]io來提取數據和投放攻擊工具。

總結

Muddled Libra的做事風格非常穩，可以對軟件自動化、BPO、電信和技術行業的組織構成重大威脅。他們精通一系列安全規程，能夠在相對安全的環境中執行自己的目標任務，并迅速執行其攻擊鏈。

安全防御人員必須結合尖端技術和全面的安全防御措施，以及對外部威脅和內部事件的全面監控，才能夠實現信息安全的完整保護。

入侵威脅指標

Muddled Libra活動相關的IP地址：

104.247.82[.]11
105.101.56[.]49
105.158.12[.]236
134.209.48[.]68
137.220.61[.]53
138.68.27[.]0
146.190.44[.]66
149.28.125[.]96
157.245.4[.]113
159.223.208[.]47
159.223.238[.]0
162.19.135[.]215
164.92.234[.]104
165.22.201[.]77
167.99.221[.]10
172.96.11[.]245
185.56.80[.]28
188.166.92[.]55
193.149.129[.]177
207.148.0[.]54
213.226.123[.]104
35.175.153[.]217
45.156.85[.]140
45.32.221[.]250
64.227.30[.]114
79.137.196[.]160
92.99.114[.]231